Les déboires de Mat Honan, qui a perdu en quelques minutes l'accès à ses comptes en ligne, ont révélé une faille importante dans la procédure de récupération de compte d'Apple et d'Amazon. Suite à cette affaire, les deux entreprises ont interdit les modifications de compte par téléphone pour éviter les tentatives de piratage par ingénierie sociale.

L'infortune du journaliste Mat Honan aura au moins eu ce mérite : pousser Apple et Amazon à revoir leur procédure de récupération de compte suite à un piratage. Wired signale en effet des changements chez le géant du commerce électronique et la firme de Cupertino. Désormais, il ne sera plus possible de téléphoner à l'assistance des deux sociétés pour réaliser des modifications à distance sur un compte.

Dans le cas d'Amazon, l'utilisateur ne pourra plus réaliser certaines opérations par téléphone afin de limiter les tentatives de piratage basées sur l'ingénierie sociale. Concrètement, le magazine américain a noté qu'un client ne peut plus appeler pour changer le(s) numéro(s) de carte de crédit présent(s) sur le compte ou pour modifier le(s) adresse(s) de courrier électronique servant à la réinitialisation du mot de passe.

De son côté, Apple a également pris des mesures. L'entreprise ne permettra plus la réinitialisation du mot de passe par téléphone. L'utilisateur devra passer par des procédures dédiées, comme iforgot.apple.com ou appleid.apple.com. Wired a constaté que la réplique de l'attaque ne fonctionnait plus, suite au gel de la procédure pendant 24 heures puis la maintenance du système.

Ces modifications sont bienvenues et devraient prochainement complétées par de nouvelles mesures, afin d'empêcher la prise de contrôle d'un compte par un pirate. Dans le cas du journaliste Mat Honan, l'assaillant n'a jamais eu besoin de mettre en défaut le mot de passe de l'utilisateur ou les sécurités d'Amazon et d'Apple : il a exploité les faiblesses des procédures de récupération de compte.

L'affaire avait eu des conséquences fâcheuses sur les activités numériques de Mat Honan. Après la prise de contrôle de ses comptes Amazon et iCloud par l'agresseur, ce dernier avait ensuite réinitialisé les mots de passe de ses autres comptes, liés les uns aux autres : le compte Gmail avait été piraté peu après, tout comme le profil Twitter. Au passage, le contenu de ses appareils Apple avait été effacé.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.